Transcript Introduktion till federationer - E

Agenda förmiddag
Presentation av närvarande samt våra roller
Syfte med dagen
Bakgrund till e-leg nämnden (Elisabeth)
Bakgrund till testbädden
Introduktion till identitetsfederationer
Frågor / kommentarer / kontaktuppgifter
Avslut
Bensträckare ca 5 min var 45:e min!
Introduktion till federationer
EID2.0 WS 2012-09-05
Valter Nordh
Göteborgs universitet / SUNET
Presentation av närvarande
• SUNET
• E-legitimationsnämnden
• Övriga deltagare
Syfte med dagen
• Att få en insyn i hur olika element i en
identitetsfederation samverkar
• Skapa en gemensam grund att stå på för
kommande workshops inom EID2.0 arbetet
• Forum för teknikfrågor
Bakgrund till e-leg nämnden
• Kort bakgrund till E-legitimationsnämnden
Bakgrund till testbädden
• Testbädden för Eid 2.0 är en teknisk infrastruktur
för test och utveckling av infrastrukturen för elegitimationer, elektronisk identifiering och
signeringstjänster i Sverige.
• SUNET och E-legitimationsnämnden har i
samarbete tagit fram testmiljön
https://docs.eid2.se/
• SUNET har driftserfarenhet av SWAMID, den
akademiska identitetsfederationen sedan 2007.
Introduktion till
identitetsfederationer
Varför id-federationer?
Tillit kontra kostnad
Olika typer av tillit
Exempel på federationer
Identitets utfärdare (IdP)
Vad är tillitsnivåer för identiteter?
Tillitsramverk
Tjänsteleverantör (SP)
Behov
Attribut och identifierare
Personlig E-legitimation kontra E-legitimering i tjänsten
Attributsutfärdare (AA)
Anvisningstjänst (DS)
Single Sign On, SSO?
Policy, det gemensamma regelverket
Varför id-federationer?
• Bygger på att återanvända utfärdade identiteter
• Vad kostar en identitet per år?
• Utfärdande, användande,
lösenordsförfrågningar, incidenthantering mm?
• Ekonomi samt skapar gemensam infrastruktur
för alla aktörer att dra nytta av e-id.
• Skalekonomi!
Tillit kontra kostnad
• Ju mindre cirkel – dess större tillit.
• Hur skapar vi tillit till en identitet ”långt” borta?
• Gemensamma regelverk!
• Annat exempel – outsourcing kontra intern drift
• Vad är kostnaden att underhålla egna
identiteter?
Olika typer av tillit
• Vilka olika typer av tillit har vi?
• Teknisk tillit (diskuteras i em)
• Policymässig tillit, förtroende
– Styrs genom det regelverk som
e-legitimationsnämnden arbetar fram
Exempel på federationer
• Två exempel på federationer i drift idag:
– Eduroam
(radius baserad, ger tillgång till trådlöst internet)
– SWAMID
(Högre utbildning i Sverige, webb baserad SSO)
Identitets utfärdare (IdP)
• Vad är en Identitetsutfärdare?
• Idag – typiskt BankId
• Vad krävs av en Identitetsutfärdare?
– Ha avtal med federationsoperatören för deltagande i
federationen.
– Att gå i god för utfärdade identiteter
– Ha en ”godkänd” process för utfärdande av identiteter
– Följa det uppsatt regelverk (policy)
– Vid en inloggning mot en SP släppa
korrekt/efterfrågad information om användaren
Identitets utfärdare (IdP)
• Vad är tillitsnivåer för identiteter?
– Finns det olika nivåer på identiteter?
– Internationellt talas det om 4 nivåer
(LoA, Level of Assurance)
–1
–2
–3
–4
Identitets utfärdare (IdP)
• Vad är tillitsnivåer för identiteter?
• Kostnaden ökar med ökande tillitsnivå
• Arbetsinsatsen för att använda en identitet ökar
också med ökande tillitsnivå.
• Bedömning – vad är rimligt att använda?
• Vilken / Vilka nivåer kommer Sverige att ha?
Identitets utfärdare (IdP)
• Tillitsramverk
• Tillitsramverk erbjuder ett standardiserat sätt att
bla beskriva tidigare nämnda tillitsnivåer.
• Vad krävs för att en identitet skall vara nivå X?
• Vad krävs av en IdP för att få lov att utfärda
identiteter på nivå Y?
• Kan en IdP utfärda biljetter på olika tillitsnivåer?
Tjänsteleverantör (SP)
• En tjänsteleverantör (SP) konsumerar
Identitetsintyg från en Identitetsutfärdare.
• Typiska tjänsteleverantörer är myndigheter som
interagerar med medborgare där vi har behov av
att identifiera oss.
• Vilka behov av tillitsnivåer behöver vi som
myndigheter för våra respektive tjänster?
Tjänsteleverantör (SP)
• Vilka behov har en tjänsteleverantör?
– Identifiering av användare
– Attribut / Information om användaren
• Hur styrs behörigheten hos en tjänsteleverantör
när autentiseringen sker via en
Identitetsutfärdare?
– Två modeller
• Genom tillit till externa attribut
• Genom upprätthållande av intern behörighetsstruktur, kopplad
till en identifierare
• En kombination av ovan
Attribut och identifierare
• Attribut är information om användaren.
• Attribut kan innehålla i princip vad som helst.
De vanligaste attributen kan vara:
Namn
Adress
Personnummer
E-post
Identifierare
• E-legitimationsnämnden tar fram en lista på
”standard” attribut
Attribut och identifierare
• Attribut ger ett stort extra mervärde till
federationen.
• Hur fastställs vem som är auktoritativ för vissa
attribut? Personnummer?
• Vill vi använda personnummer i alla lägen – vi
har en unik identifierare som kan användas
istället. Vad ställer det för krav på oss som
myndigheter?
Attribut och identifierare
• Personlig E-legitimation kontra E-legitimering i
tjänsten
• Den personliga e-legitimationen används
kompletterad med ett attribut som auktoriserar
användaren att agera för berörd organisation i
viss roll.
• Berörd organisation utfärdar tjänste-elegitimationer som innehåller information om vem
som agerar å organisationens vägnar.
Attributsutfärdare (AA)
• Exempel på när vi önskar mer information om en
användare är tex bolagsverket och firmatecknare
• Se tavlan
Anvisningstjänst (DS)
• Hur vet en Tjänsteleverantör vilken
Identitetsutfärdare som en slutanvändaren
använder sig av?
• Någon gång måste en användare peka ut/välja
vilken Identitetsutfärdare som slutanvändaren
använder.
• Denna tjänst kallas anvisningstjänst (DS)
• Tar en lista på IdP:er och presenterar för
användaren.
Anvisningstjänst (DS)
• Tar en lista på IdP:er och presenterar för
användaren.
• Demo:
https://sp.eid2.se/
Single Sign On, SSO?
• Vad händer efter att en användare loggat in mot
en Tjänsteleverantör och sedan vill nyttja en
annan tjänst?
• Alt 1:
Användaren loggas in ”automatiskt”, så kallad
Single Sign On (SSO)
• Alt 2:
Användaren behöver logga in på nytt
Policy, det gemensamma
regelverket
• Viktiga pusselbitar i en Identitetsfederation:
Identitetsutfärdare
Tjänsteleverantörer
Attributleverantörer
Anvisningstjänst
Tillitsnivåer
• Sammanknytningen av hur dessa interagerar
regleras i federationspolicyn (regelverket) som
nu är ute på remiss
• Hearing 13 sep, se e-leg nämndens hemsida!
Övrigt
• Alla övriga frågor
Frågor / kommentarer /
kontaktuppgifter
• Frågor / kommentarer?
• Kontaktuppgifter:
E-legitimationsnämnden, se
http://www.elegnamnden.se/
• Tekniska testbädden, https://docs.eid2.se/
Tack för att ni lyssnat!
Valter Nordh